ヘテムムサーバーでWAFに有効にしていると、WordPress管理画面での処理がたまに403エラーで引っかかることがあります。
403の原因がWAFによるものなのであれば、「WAFの除外ルール」を適用させることでエラーを回避することができるので、今回はそのWAFの除外ルールについての解説と、ヘテムルサーバーでの具体的な除外設定の方法をまとめています。
目次
WAFの除外設定とは?
WAFを有効にしていると、XSS(クロスサイトスクリプティング)などの外部からの攻撃に対して、サーバー側が処理を中断してエラーを返してくれます。
ただ、明らかに攻撃ではない文字列であっても攻撃だと見なされる(誤検知)こともあるので、そういった時のために「除外ルール」というのが設定できて、特定の処理はエラーを回避できるようになっています。
具体的には、
❷その特定のシグネチャに対して.htaccessで除外ルールを書く
ヘテムルサーバーでのWAFの除外設定について
今回はヘテムルサーバー
のWAFを例に解説します。
ヘテムルサーバーの場合、WAF除外のポイントは以下の2点です。
- 除外ルールがわかりやすい(除外ルールを設定しやすい)
- .htaccessファイルの編集がFTPでしかできない
特に、初めて除外設定する人の中には「シグネチャって何?」とか「除外設定って言われても、何をどうしたら良いかよく分からない…」という声も多いんじゃないかと思います。
でもヘテムルサーバーだと、WAFのログ画面で除外ルールそのものを表示してくれるのでとても親切です。あとはそのルールを.htaccessファイルにコピペすればOKなのでとても簡単です。
ただ、.htaccessファイルの編集方法はFTPしかないっぽいので、All in One SEO Packのファイルエディタなどで管理画面から除外ルールを足そうとしても、そのルールを足すこと自体がWAFではじかれる(403エラーになる)ということに。。
具体的なWAF除外ルールの適用方法
ヘテムルの管理画面にアクセスして、
右メニューの「各種設定」>「WAF設定」へ進みます。
ドメイン一覧から対象のドメインの「詳細を見る」ボタンをクリックします。
WAF設定のページで「ログ参照」のリンクをクリックします。
シグネチャと除外ルールの確認
今までの検知結果が表示されるので、WordPressで403エラーが出た時間に近いログを見てください。
で、その検知結果の中に、
のような呪文が表示されていると思いますが、これが「除外ルール」なのでコピーしてください。
.htaccessに除外ルールを追加
FTPでダウンロードした.htaccessファイルをエディタソフトで開いて、ファイルの下部に除外ルールをぺーストします。
※自分で書く場合は、こんな感じで.htaccessに追記します。
で、あとはFTPで.htaccessファイルをアップロードして完了です。
ヘテムルサーバーでのWAF除外設定のまとめ
上の解説でも少し触れた「シグネチャ」とは、xss-try-11などの文字列のことを指します。
レンタルサーバーによっては、ログファイルの中からこのシグネチャを探さないといけないなど、結構面倒臭いところもあるんですが・・・ヘテムルだとコピペで使える除外ルールをそのまま表示してくれるので、わかりやすくて親切です。
エックスサーバーでは通る処理でも、ヘテムルだと403で拒否されるものもあるため、この辺については今後できる限り、レンタルサーバー別の記事をまとめていこうと思います★
hetemlのコントロールパネルから.htaccessを直接編集することのは無理っぽいですが、heteml FTPという、WEBでFTPクライアントソフトでの操作と同じことができる機能があるので、それを使う手はありそうです。